locked
Как быстро разблокировать несколько учетных записей RRS feed

  • Вопрос

  • Привет всем!
    Возникла проблема из-за вируса случается что блокируются все учетные записи в домене как я понимаю из-за подбора поролей(W2k), а их около 500 штук, снимать блокировку с каждой по отдельности очень трудно что можно предпринять чтобы можно было разблокировать все заблокированные одновременно?

    http://renat.org
    2 октября 2009 г. 1:50

Ответы

  • В Windows 2003 нет встроенной утилиты, чтобы выполнять подобные действия, но можно поставить Powershell и скачать пакет командлетов для управления Active Directory вот здесь:
    http://www.quest.com/activeroles-server/arms.aspx

    Просто, понятно, и есть руководство по командлетам.
    • Предложено в качестве ответа Dmitry PonomarevEditor 6 октября 2009 г. 20:47
    • Помечено в качестве ответа Nikita PanovModerator 28 октября 2009 г. 11:36
    2 октября 2009 г. 3:00

Все ответы

  • В Windows 2003 нет встроенной утилиты, чтобы выполнять подобные действия, но можно поставить Powershell и скачать пакет командлетов для управления Active Directory вот здесь:
    http://www.quest.com/activeroles-server/arms.aspx

    Просто, понятно, и есть руководство по командлетам.
    • Предложено в качестве ответа Dmitry PonomarevEditor 6 октября 2009 г. 20:47
    • Помечено в качестве ответа Nikita PanovModerator 28 октября 2009 г. 11:36
    2 октября 2009 г. 3:00
  • Как это нет?
    А DSQUERY/DSMOD? Можно так же использовать скрипты на VBS.....


    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    2 октября 2009 г. 3:59
  • А какая команда в dsmod активирует заблокированную учетную запись? По-моему там есть только возможность включать выключенную учетную запись:
    http://technet.microsoft.com/en-us/library/cc732954(WS.10).aspx

    Про скрипты на VBS тоже не понял, если их самому писать, то проще готовый командлет использовать.
    2 октября 2009 г. 4:11
  • На самом деле есть.

    dsquery user -disabled "ou=unit,dc=domain,dc=com" | dsmod user -disabled no

    Первая команда выдает список заблокированных юзеров, передает их на вход dsmod и та снимает блокировки. Если ссылку на юнит убрать, получите всех юзеров в домене. Среди них будет гость, блокировку которого снимать не следует.

    Ну и это же можно сделать из оснастки AD Users and Computers. Через поиск. Выбираете Common Queries. Ставите галку напротив Disabled accounts. Получаете список заблокированных юзеров. Выделяете их (всех или только тех, которые нужны) и правой кнопкой Enable Account.
    2 октября 2009 г. 4:15
  • То есть эта команда действует как на аттрибут "Account is locked out", так и на аттрибут "Account is disabled"? Мне всегда казалось, что это разные вещи.
    2 октября 2009 г. 4:29
  • На самом деле есть.

    dsquery user -disabled "ou=unit,dc=domain,dc=com" | dsmod user -disabled no

    Первая команда выдает список заблокированных юзеров, передает их на вход dsmod и та снимает блокировки. Если ссылку на юнит убрать, получите всех юзеров в домене. Среди них будет гость, блокировку которого снимать не следует.

    Ну и это же можно сделать из оснастки AD Users and Computers. Через поиск. Выбираете Common Queries. Ставите галку напротив Disabled accounts. Получаете список заблокированных юзеров. Выделяете их (все или только тех, которые нужны) и правой кнопкой Enable Account.

    По-моему вы путаете Disabled от Locked, мне нужно не включать отключенные записи, а разблокировать все заблокированных, менять Locked на Unlocked, использую Server 2000
    http://renat.org
    2 октября 2009 г. 4:31
  • Попробуйте вот это:
    http://www.microsoft.com/downloads/details.aspx?familyid=D1A5ED1D-CD55-4829-A189-99515B0E90F7&displaylang=en

    И еще полезный документ:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=8c8e0d90-a13b-4977-a4fc-3e2b67e3748e&DisplayLang=en

    Вот и мне кажется, что путают и меня пытаются запутать ;).
    2 октября 2009 г. 4:33
  • Ну да, путаю. С толку сбивает заголовок темы. :)

    Вот тут есть пример скриптика http://www.petri.co.il/add_unlock_user_option_to_dsa.htm

    2 октября 2009 г. 4:41
  • А какая команда в dsmod активирует заблокированную учетную запись? По-моему там есть только возможность включать выключенную учетную запись:
    http://technet.microsoft.com/en-us/library/cc732954(WS.10).aspx

    Про скрипты на VBS тоже не понял, если их самому писать, то проще готовый командлет использовать.

    Да, действительно УЗ которая в состояниии "Locked out" можно найти с посмощью DSQUERY,  а разблокировать с помощью DSMOD не  получится.
    Но можно передать результаты поиска в простейший VBS скрипт:
    http://gallery.technet.microsoft.com/ScriptCenter/ru-ru/3643ef25-e1ed-4917-a6b2-e99cc0b45ef1

    А вообще СыНС отличные варианты скриптов привел, будут работать и на Win 2000....
    А вот PosH для Win2K использовать нельзя...

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    2 октября 2009 г. 7:20
  • Здравствуйте, Renatik.

    Здесь - http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/77eecc1e-8008-4793-a8c8-5c65a7622141 аналогичная проблема, посмотрите.
    6 октября 2009 г. 9:41
    Модератор
  • Да тут уже столько вариантов предложили...

    Что характерно, в той теме так же ошибочно предлагается использовать dsmod.
    6 октября 2009 г. 9:50
  • Ну да, путаю. С толку сбивает заголовок темы. :)

    Вот тут есть пример скриптика http://www.petri.co.il/add_unlock_user_option_to_dsa.htm


    Хотел воспользоваться этим методом но возникла проблема при добавления контекстного меню при выполнении пункта

    2.The first attribute in the list of attributes for the object should be adminContextMenu. Double-click it or click on the Edit button.

    У меня нет кнопки едит он переходит в состояние view, хотя я вхожу в группу домэйн админс,  в чем может быть причина? Уточню сервер 2000, у меня клиент 7-ка. Когда использую фильтр show only writable attributes он мне вообще ничего не показывает, не пойму в чем проблема.


    http://renat.org
    9 октября 2009 г. 1:48
  • Вам нужны права группы Enterprise Admins.

    9 октября 2009 г. 5:22
  • В PowerShell использую такой скрипт. когда по моей сети гулял Conficker помагало...очень! 
    Get-QADUser -locked | unlock-QADUser	

    9 октября 2009 г. 6:09
  • ВОт у меня та же проблема была с Confickerom в группу Enterprise Admins. я к сожелению не вхожу

    http://renat.orgEn
    9 октября 2009 г. 7:55
  • Не входите и ладно. Не обязательно же, привязывать скрипты к оснастке. Берете второй скрипт, указываете в командной строке юнит и он снимает блокировки у всех юзеров этого юнита.

    9 октября 2009 г. 10:12
  • http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/2bd4ecab-cf0a-472d-a0dd-06c26922842b

    Возможно это вам поможет коллега.

    12 октября 2009 г. 17:16